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® Verfahren zur Sicherung von ladbaren Guthaben in Chipkarten 

© Die Chipkarte (CHK) wird fur Debit-Anwendungen genutzt. 
Das Guthaben (GUT) kann an Aufbuchungsstellen (KA, HO) 
erhoht und an Abbuchungsstellen (FA) emiedrigt werden. 
Die in der Chipkarte (CHK) gespetcherten Guthaben (GUT) 
sind durch mindestens ein jeweils von bestimmten Kommu- 
nikationspartnem erzeugbares Zertifikat (CER) gesichert. 
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Beschreibung 

Die Prozessorchipkarte ist fur eine Vielzahl von An- 
wendungen — z. B. POS- Banking, Rechnerzugang, Te- 
lefonkarte — geeignet Beschr3nkt man sich auf die An- 5 
wendungen der Chipkarte als Zahlungsmittel, dann kon- 
nen prinzipiell zwei Anwendungsarten unterschieden 
werden: 

- die Kreditanwendung; dabei werden beim Wa- 10 
renaustausch Buchungsdaten, wie z. B. Kontonum- 
mern ausgetauscht und Oberweisungsauftrage er- 
teilt 

- die Debitanwendung; dabei werden beim Wa- 
renaustausch geldwerte Informationen aus der 15 
Karte "entnommen". z. B. werden bei der Telefon- 
karte bereits beim Kartenerwerb bezahlte, auf der 
Karte gespeicherte Gebiihreneinheiten geldscht 
Sind alle Gebiihreneinheiten geldscht, dann ist die 
Karte wertlos und wird entsorgt. 20 

Um die Anwendung der Chipkarte im Debitbereich 
preisgunstiger zu gestalten, gibt es Verfahren, mit denen 
man bestimmte Bereiche der Chipkarte wieder aufladen 
kann. "Verbrauchte" Chipkarten werden dem ausgeben- 25 
den Institut zuruckgegeben. Diese Institute verftigen 
uber die Kenntnis und die Fahigkeit, die Chipkarten 
wieder mit geldwerter Information zu laden. 

Ein solches Vorgehen ist aber verhaltnismaBig um- 
standlidt Solche Debit-Chipkarten durften deshalb auf 30 
Akzeptanzprobleme stoQen. Anzustreben ist eine Chip- 
karte fur Debit-Anwendungen, die jederzeit an einer 
Vielzahl von Aufladestationen — z. B. bei Banken, 
Handlern etc. — wieder aufgeladen werden konnen. 

Die der Erfindung zugmndeliegende Aufgabe ist es, 35 
ein Verfahren aufzuzeigen, das fur Guthaben in Chip- 
karten, die an einer Aufladestation immer wieder mit 
geldwerter Information geladen werden konnen, ein 
HochstmaB an Sicherheit bietet Dazu soil die Chipkarte 
jede Manipulation an der Chipkarte selbst wirksam ver- 40 
hind em und Manipulationen an den Aufbuchungs- und 
Abbuchungsstellen erkennen konnen. 

Diese Aufgabe wird durch die im Anspruch 1 angege- 
benen Merkmale gelost 

Die Chipkarte arbeitet dabei z. B. nach einem in EP 45 
9 01 13 990.7 beschriebenen Verfahrea Fur verschiede- 
ne Anwendungen (z. B. Abbuchen, Aufbuchen) werden 
vom Kommunikationspartner in der Chipkarte gespei- 
cherte Basisfunktionen in einer jeweils in einem Proto- 
koll festgelegten Reihenfolge abgearbeitet Die Einhal- 50 
tung der Protokollreihenfolge wird von der Chipkarte 
selbst Qberwacht Welches Anwendungsprotokoll maB- 
gebend ist, wird bei der Initialisierung der Kommunika- 
tionspartner festgelegt Die Initialisierung erfolgt nach 
erfolgter elektrischer, elektromagnetischer oder opti- 55 
scher Verbindung der Kommunikationspartner. Prak- 
tisch ist damit z. B. ausgeschlossen, daB an einer Abbu- 
chungsstelle eine Aufbuchung stattfindet und umge- 
kehrt. 

Zusatzlich wird durch eine gegenseitige oder auch 60 
einseitige Authentication sichergestellt, daB nur einan- 
der bekannte Kommunikationspartner miteinander Da- 
ten austauschen. Fur eine Authentifikation ist eine ein- 
deutige Identifizierbarkeit der Kommunikationspartner 
Voraussetzung. Diese ist zum Beispiel durch Vergabe 65 
von Nummern (Chipkartennummer, Abbuchungsstel- 
lennummer, Aufbuchungsstellennummer) erreichbar. 
Des weiteren mussen, um eine Authentifikation durch- 
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fiihren zu konnen, zwischen den Kommunikationspart- 
nern kryptografische Schlussel vereinbart sein. Je nach 
den technischen Moglichkeiten der einzelnen Kommu- 
nikationspartner sind diese Schlussel fur symmetrische 
oder asymmetrische Verschlusselung vereinbart Bei 
symmetrischer Verschlflsselung ist speziell fur jedes 
mogliche Paar von Kommunikationspartnern ein 
Schlussel vereinbart Bei asymmetrischer Verschlussel- 
ung ist jedem Kommunikationspartner ein geheimer 
und ein offentlicher Schlussel zugeordnet Diese Kenn- 
groBen (spezielle Nummern und Schlussel) konnen ge- 
maB dem vorliegenden Verfahren zusatzlich zur Siche- 
rung der ladbaren Guthaben in der Chipkarte verwen- 
det werden. Es versteht sich, daB auch speziell fQr diese 
Sicherung des Guthabens Nummern und Schlussel ver- 
einbart werden konnen. Anzumerken ist auch, daB sich 
die Kenngrofien nur auf die verwendeten Kommunika- 
tionspartner beziehen. Ruckschlusse auf den Benutzer 
einer Chipkarte sind damit von vornherein stets ausge- 
schlossen. 

Wird die Chipkarte mit einer Aufbuchungs- bzw. Ab- 
buchungsstelle verbunden und ist die Authentizitat der 
Kommunikationspartner festgestellt dann fordert die 
Aufbuchungsstelle bzw. die Abbuchungsstelle das in der 
Chipkarte gespeicherte Guthaben und ein oder mehrere 
dazugehdrige(s) ebenfalls gespeicherte(s) Zertifikat(e) 
an. 

Ein Zertifikat wird mit Hilfe eines VerschlOsselungsal- 
gorithmus nach der Beziehung 

Zertifikat — f (Schlussel GuthabenX 

bestimmt 

Ein Zertifikat kann demzufolge nur von demjenigen 
Kommunikationspartner berechnet werden, der den 
Schlussel und das Guthaben kennt und den Verschlus- 
selungsalgorithmus ausfuhren kann. Dies gilt bei Ver- 
wendung eines symmetrischen Verschlusselungsalgo- 
rithmus (z.B. DES (Data-Encryption-Standard)) auch 
fur die Oberprufung des Zertifikates. Bei Verwendung 
von asymmetrischen Verschlusselungsverfahren (z.B 
RSA) kann jeder, der den Verschlusselungsalgorithmus 
ausfuhren kann, anhand des offentlichen Schlussels und 
des Guthabens die Echtheit des Zertifikats und damit 
die GOltigkeit des ubermittelten Guthabens uberpriifen. 

Nach erfolgreichem Vergleich des aus Schlussel und 
Guthaben in der Aufbuchungsstelle oder Abbuchungs- 
stelle bestimmten Zertifikates mit dem aus der Chipkar- 
te angeforderten Zertifikat kann das Guthaben veran- 
dert werden. Handelt es sich beim Kommunikations- 
partner um eine Aufbuchungsstelle, so wird das Gutha- 
ben erhoht Handelt es sich um eine Abbuchungsstelle, 
dann wird das Guthaben vermindert. 

Das Guthaben mit Zertifikat kann auf unterschiedli- 
che Art und Weise verandert werden: 

1. Die Aufbuchungsstelle bzw. Abbuchungsstelle 
addiert bzw. subtrahiert einen Geldbetrag zum 
Guthaben. Zu dem sich aus der Addition bzw. Sub- 
traktion ergebenden neuen Guthaben berechnet 
die Aufbuchungsstelle bzw. Abbuchungsstelle ein 
oder mehrere neue(s) Zertifikat(e)^ Diese(s) Zertifl- 
kat(e) ubermittelt sie gemeinsam mit dem neuen 
Guthaben zur Chipkarte. 

2. Die Aufbuchungsstelle bzw. Abbuchungsstelle 
bestimmt wie bei 1. die/das Zertifikat(e). Das neue 
Guthaben wird aber auf der Chipkarte selbst er- 
rechnet In diesem Falle entfaJlt die Obertragung 
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des neuen Guthabens von der Aufbuchungsstelle 
bzw. Abbuchungsstelle zur Chipkarte. 

3. Die Aufbuchungsstelle bzw. Abbuchungsstelle 
bestatigt der Chipkarte die Echtheit des Guthabens 
durch Obermitteln einer entsprechenden Nach- 5 
richt In der Chipkarte wird dadurch eine Funktion 
angeregt die es der Chipkarte erlaubt das neue 
Guthaben selbst zu berechnen, und das/die neue(n) 
Zertifikat(e) selbstandig zu bestimmen. 

4. Die Aufbuchungsstelle bzw. die Abbuchungsstel- 10 
le addiert bzw. subtrahiert einen Geldbetrag zum 
bzw. vom Guthaben. Zum resultierenden neuen 
Guthaben bestimmt die Abbuchungsstelle wenig- 
stens ein neues Zertifikat Dieses neue Zertifikat 
wird zur Chipkarte Obertragea Die Chipkarte er- t5 
halt gemeinsam mit dem Zertifikat das neue Gutha- 
ben mitgeteilt oder errechnet es selbst Aus dem 
neuen Guthaben und einem weiteren Schlussel be- 
stimmt die Chipkarte mindestens ein weiteres neu- 
es Zertifikat 20 

Das neue Guthaben mit alien neuen Zertifikaten und 
eventuell auch die Nummern der beteiligten Kommuni- 
kationspartner wird als Buchungssatz zumindest in der 
Chipkarte gespeichert Aus diesem Buchungssatz kann 25 
spater nachvollzogen werden, welche Kommunika- 
tionspartner miteinander geldwerte Information ausge- 
tauscht haben. 

Mit dem erfindungsgemaBen Verfahren wird ein um- 
fassender Schutz fur ladbare Guthaben auf Chipkarten 30 
oder sonstigen tragbaren Datentragern erreicht Bu- 
chungen konnen nur gemeinsam mit authentisierten 
Kommunikationspartnern wirksam durchgefuhrt wer- 
dea Nur Guthaben mit richtigen Zertifikaten werden 
als giiltig anerkannt Es ist fur eine ubergeordnete Stelle 35 
anhand der gespeicherten Buchungssatze moglich, fest- 
zustellen, wer mit wem kommuniziert hat und welcher 
Kommunikationspartner moglicherweise manipuliert 
war. 

GemaB einer Weiterbildung und Ausgestaltung des 40 
Verfahrens wird das Guthaben in der Chipkarte in Form 
einer Mehrzahl von Gutscheinen eines bestimmten No- 
minalwertes gespeichert Jedem Gutschein wird ein Zer- 
tifikat angefugt Bei dieser Ausfuhrungsform eignet sich 
die Verwendung eines asymmetrischen VerschlGssel- 45 
ungsverfahrens zur Zertifikatbestimmung besonders 
gut 

Die Aufbuchungsstelle erzeugt mit einem geheimen 
Schlussel, der auch kartenspezifisch sein kann, die Zerti- 
fikate zu den einzelnen Gutscheinen. Nach obigem Ver- 50 
fahren werden eine Mehrzahl von Gutscheinen mit Zer- 
tifikat in der Chipkarte gespeichert Die Abbuchungs- 
stelle vergewissert sich, daB ausreichend echte Gutha- 
ben in der Chipkarte gespeichert sind, indem sie die 
Zertifikate mit einem passenden offentlichen Schlussel 55 
uberpriift Zur Verringerung des Guthabens auf der 
Chipkarte werden lediglich eine entsprechende Anzahl 
Gutscheine auf der Chipkarte ungultig gemacht 

Diese Weiterbildung gewahrleistet, daB auf der Chip- 
karte kein Restbetrag entstehen kann, daB keine gehei- eo 
men Schlussel auBerhalb der Aufbuchungsstelle vorhan- 
den sein mussea und dennoch ausreichend gesicherte 
uberpriifbare Guthaben auf der Chipkarte gespeichert 
werden konnea 

Weitere Ausgestaltungen und Weiterbildungen des « 
erfindungsgemaBen Verfahrens sind in weiteren Unter- 
ansprtichen angegeben. 

Ein Ausfuhrungsbeispiel der Erfindung wird anhand 



der Zeichnung naher erlautert Es zeigen: 

Fig. 1 eine prinzipielle Ablaufdarstellung des erfin- 
dungsgemassen Verfahrens, 

Fig. 2 die Kommunikationspartner, die an einer spe- 
ziellen Ausfuhrungsform des Verfahrens beteiligt sind, 

Fig. 3 ein Schaubild, in dem dargestellt ist wer in der 
speziellen Ausfuhrungsform aus Fig. 2 welches Zertifi- 
kat bestimmen kann, 

Fig. 4 ein Protokoll zum Aufbuchen des Guthabens 
einer Chipkarte nach dem Ausfuhrungsbeispiel gemaB 
Fig. 2 und 

Fig. 5 ein Protokoll zum Abbuchen des Guthabens 
einer Chipkarte nach dem Ausfuhrungsbeispiel gemaB 
Fig. 2. 

In Fig. 1 ist eine prinzipielle Ablaufdarstellung des 
erfindungsgemaBen Verfahrens dargestellt Neben ei- 
nem Block, der eine Chipkarte CHIC reprasentiert, er- 
scheint ein Block, der eine Aufbuchungsstelle KA, HO 
bzw. eine Abbuchungsstelle FA darstellt In einer Abfol- 
ge von oben nach unten verlaufen mehrere Pfeile zwi- 
schen den beiden Blocken. Der erste Pfeil symbolisiert 
die Initialisierung INIT, die im AnschluB an die elektri- 
sche Verbindung der beiden Kommunikationspartner 
erfolgt In AnschluB an die Initialisierung INIT ist der 
Kommunikationspartner fur die Chipkarte CHK be- 
kannt und auf der Chipkarte kann infolgedessen ein 
speziell fur diesen Kommunikationspartner giiltiges 
Protokoll abgearbeitet werden. Dieses Protokoll sieht 
zunachst eine gegenseitige Authentifikation AUTH 
zwischen Chipkarte CHK und Kommunikationspartner 
FA, KA, HO vor. Erst wenn die Authentifikation AUTH 
beispielsweise nach dem Challenge- and Response-Ver- 
fahren, erfolgreich beendet ist werden Daten DAT von 
der Chipkarte CHK zum Kommunikationspartner FA, 
KA, HO ubertragea Die zu ubertragenden Daten DAT 
werden vorher durch einen Message Authentication 
Code MAC gesichert Der MAC wird gemeinsam mit 
einem Guthaben GUT und wenigstens einem Zertifikat 
CER zum Kommunikationspartner FA, KA, HO uber- 
tragea Im Kommunikationspartner erfolgt eine Ober- 
prufung CHEK der ubertragenen Daten DAT anhand 
des MAC und anschlieBend des ubertragenen Gutha- 
bens GUT anhand des Zertifikates CER. Nach erfolgrei- 
cher Oberprufung CHEK errechnet der Kommuniak- 
tionspartner FA, KA, HO ein neues Guthaben NGUT 
und mindestens ein dazugehdriges neues Zertifikat 
NCER. Zu diesem neuen Guthaben NGUT und dem 
neuen Zertifikat NCER errechnet der Kommunika- 
tionspartner FA, KA, HO einen MAC und iibertragt 
diese Daten DAT anschlieBend zur Chipkarte CHK. Die 
Chipkarte CHK bestimmt unter Umstanden ein weite- 
res neues Zertifikat NCER, und fugt es den ubertrage- 
nen Daten aa Der Auf- oder Abbuchungsvorgang ist 
damit beendet und die Chipkarte CHK kann wieder 
vom Kommunikationspartner FA, KA, HO getrennt 
werden. 

Fig. 2 zeigt die Komponenten, die bei einer speziellen 
Ausfuhrungsform des Verfahrens bendtigt werden. Die- 
se spezielle Ausfuhrungsform beschreibt die Verwen- 
dung der Chipkarte CHK zum Kauf von Fahrscheinen T 
fur olfentliche VerkehrsmitteL Ein Kunde KU ist Besit- 
zer einer Chipkarte CHK. Urn diese Chipkarte CHK mit 
einem Geldbetrag BETR zu laden, begibt er sich zu 
einem Handler. Dieser Handler verfugt uber eine Hfcnd- 
lerkasse KA, die uber eine DatenQbertragungsleitung 
DU mit einem Host-Rechner HO verbindbar ist Die 
Handlerkasse KA und der Host-Rechner HO verkor- 
pern die Aufbuchungsstelle. Nach erfolgter Aufbuchung 
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der Chipkarte CHIC erhalt der Kunde KU ein Journal J, 
auf dem der Handler die Aufbuchung des Geldbetrages 
BETR auf der Chipkarte CHIC bestatigt Mit dieser 
Chipkarte CHIC kann nun der Kunde KU bei jedem, 
dem offentlichen Verkehrssystem zugehorigen Fahr- 5 
scheinautomaten FA einen Fahrschein T erwerben. Der 
Fahrkartenautomat FA verkorpert dabei die Abbu- 
chungsstelle. Der Fahrkartenautomat FA arbeitet Off- 
Lin e. 

Die Sicherung der Guthaben GUT auf den zu dem in 10 
Fig. 2 dargestellten dffentlichen Verkehrssystem gehd- 
rigen Chipkarten CHIC wird in Fig. 3 veranschaulicht 
Jedem Guthaben GUTX, GUTY werden zwei vom Gut- 
haben GUTX, GUTY abhangige Zertifikate CER(X) 
CHKA, CER(X)FA bzw. CER(Y)CHICB f CER(Y)FA an- | 5 
gefugt Durch Pfeile ist in Fig. 3 verdeutlicht, welcher 
Kommunikationspartner CHKA, CHKB, HO, FA wel- 
ches Zertifikat CER bestimmen kann. Demnach ist der 
Host-Rechner HO in der Lage, samtliche Zertifikate 
CER zu bestimmen. Der Fahrscheinautomat FA kann 20 
die Fahrkartenautomatenzertifikate CER(X)FA, 
CER(Y)FA bestimmen, und jede Chipkarte CHKA bzw. 
CHKB kann jeweils nur ihr kartenspezifisches Zertifikat 
CER(X)CHKA bzw.CER(Y)CHKB bestimmen. 

Im einzelnen werden die Zertifikate CER durch fol- 25 
gende Gleichungen bestimmt: 

CER(X)CHICA = f(K(AXGUTX) 
CER(Y)CHKB = f(K(B),GUTY) 

CER(X)FA - f(K(FA), GUTX) 30 
CER(Y)FA = f(K(FA), GUTY) 

In diesem hier beispielhaft aufgezeigten symme- 
trischen Verschlusselungsverfahren werden geheime, 
jeweils zwischen zwei Kommunikationspartnern gultige 35 
Schlussel K verwendet Die Schlussel K fiir die karten- 
spezifischen Zertifikate CER(X)CHKA bzw. 
CER(Y)CHKB ihrerseits werden durch eine sogenannte 
Einwegifunktion g (keine Umkehrfunktion vorhanden) 
aus einem geheimen Schiassel K' einer Chipkartennum- 40 
mer CHKNR nach der Beziehung 

K(A) = g(K\CHKNR(A)) 
K(B) - g(KXHKNR(B)) 

45 

gebildet 

Die geheimen Schlussel K' konnen jeweils fur mehre- 
re Chipkarten CHK identisch sein. Die Einwegfunktion 
g muB nicht in jedem Kommunikationspartner ausge- 
fiihrt werden. Es genugt, wenn lediglich der Host-Rech- 50 
ner HO diese Einwegfunktion g ausfuhren kann. In den 
Chipkarten CHK kann jeweils der Chipkartenschlussel 
K(A), K(B) direkt gespeichert und verwendet werden. 

Urn einen weitergehenden Schutz des Guthabens 
GUT zu erzielen, z. B. einen Schutz gegen Wiederein- 55 
spielen des Automatenzertifikates CER(X)FA, 
CER(Y)FA. kann dieses Zertifikat CER(X)FA, 
CER(Y)FA, auch kartenspezifisch nach folgender Glei- 
chung bestimmt werden: 

60 

CER'(X)FA = F(K(FA), GUTX, CHKNR(A)) 
CER'(Y)FA « F(K(FAX GUTY, CHKNR(B)) 

Anhand der Fig. 4a bis 4g werden im folgenden die 
Verfahrensablaufe beim Aufbuchen einer Chipkarte 65 
CHK, die in einem System gemaB den Fig. 2 und 3 ver- 
wendet wird, dargelegt. Der Verfahrensablauf ist eine 
Abfolge einzelner Funktionen. Die am Aufbuchungs- 
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vorgang beteiligten Systemkomponenten sind: 

- eine Chipkarte CHK 

- eine Handlerkasse KA mit Sicherheitsmodul 
KASM 

- ein Host-Rechner HO mit Sicherheitsmodul 
HOSM. 

Die Sicherheitsmodule KASM bzw. HOSM sind be- 
sonders geschutzte Bereiche innerhalb der Handlerkas- 
se KA bzw. des Host-Rechners HO. Fur jede System- 
komponente ist in der Figur eine Spalte vorgesehen. Da 
die Handlerkasse KA sowohl mit dem Host-Rechner 
HO als auch mit der Chipkarte CHK kommuniziert, sind 
fiir die Handlerkasse KA aus Grunden der Ubersicht- 
lichkeit zwei Spalten vorgesehen. Jede Funktion wird 
durch einen rechteckigen Rahmen symbolisiert. Die 
Funktionen sind fortlaufend numeriert Ein Pfeil ober- 
halb des rechteckigen Rahmens zeigt, aus welcher Sy- 
stemkomponente die Eingangsdaten der Funktion starn- 
men. Ein Pfeil unterhalb des rechteckigen Rahmens 
zeigt an, wem die Ausgangsdaten der Funktion iibermit- 
telt werden. 

Anhand der Funktionsnumerierung wird der Verfah- 
rensablauf nun stichwortartig beschrieben: 

A: Initialisierung 

1. Chipkarte CHK und Handlerkasse KA werden in 
einen Grundzustand RES versetzt. 

2. Die Handlerkasse KA bestimmt ein Anwen- 
dungsdatenfeld ADF (Application Data Field). Da- 
durch wird das maBgebliche Protokoll SELPRO in 
der Chipkarte CHK gewahlt Die Chipkarte CHK 
quittiert dies durch Obertragen eines Statussignals 
STA. 

3. Die Handlerkasse KA iibermittelt eine Block- 
nummer BNR(A). Dadurch wird eine bestimmte 
Speicherstelle in der Chipkarte CHK durch die 
Funktion READ gelesen. Die Chipkarte CHK 
iibermittelt die gelesene Kartennummer CHKNR 
an die Handlerkasse KA. 

4. Die Handlerkasse KA ubertragt eine Blocknum- 
mer BNR(D> Dadurch wird ein Buchungszahler- 
stand BZ in der Chipkarte CHK gelesen und zur 
Handlerkasse KA Obertragen. 

5. Die Handlerkasse KA iibermittelt dem Handler- 
kassensicherheitsmodul KASM einen Anwen- 
dungsnamen AN. Dadurch wird ein Protokoll SEL- 
PRO gewahlt Das Handlerkassensicherheitsmodul 
KASM quittiert durch ein Statussignal STA. 

B: Gegenseitige Authentifikation AUTH, Chipkarte 
CHK - Handlerkasse KA 

6. Das Handlerkassensicherheitsmodui KASM ge- 
neriert eine erste Zufallszahl V. 

7. Die Handlerkasse KA ruft mit dem Signal CALA 
und der Obertragung der ersten Zufallszahl V eine 
Funktion CALAP zur Berechnung eines Anerken- 
nungsparameters AP auf. Dieser Anerkennungspa- 
rameter AP wird von der Chipkarte CHK zur 
Handlerkasse KA Obertragen. 

8. Die Handlerkasse KA ruft durch die Obertra- 
gung des Signals CALA, der Chipkartennummer 
CHKNR und des Anerkennungsparameters AP ei- 
ne Funktion AUTHCHK zur Authentifikation der 
Chipkarte CHK im Kassensicherheitsmodul 
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KASM auf. Das Kassensicherheitsmodul KASM 
quittiert die Richtigkeit des Anerkennungsparame- 
ters AP. 

9. Die Chipkarte CHK erzeugt mit Hilfe ihres Zu- 
fallsgenerators GENRAN eine zweite Zufallszahl 5 
V und ubertragt diese an die Handlerkasse KA. 

10. Die Handlerkasse KA ubertragt ein Signal CA- 
LA und die zweite Zufallszahl V an das Handler- 
kassenmodul KASM. Dadurch wird die Funktion 
zur Berechnung des Anerkennungsparameters AP' | 0 
aufgerufen, dieser Anerkennungsparamter AP' 
Hegt der Handlerkasse KA vor. 

1 1. Die Handlerkasse KA ubertragt ein Signal CA- 
LA und den zweiten Anerkennungsparameter AP' 
an die Chipkarte CHK. Dadurch wird eine Funk- ts 
tion AUTHKA zur Authentifikation AUTH der 
Handlerkasse KA aufgerufen. Die Chipkarte CHK 
bestatigt die Richtigkeit des zweiten Anerken- 
nungsparameters AP durch eine Quittung OK. 

20 

C: Herstellen der On-Line-Verbindung zum 
Host-Rechner HO 

12. Die Handlerkasse KA ubertragt eine Block- 
nummer BNR(C) an die Chipkarte CHK. Dadurch 25 
wird die Lesefunktion READ aufgerufen und das 
aktuelle Guthaben GUT und das Zertifikat CERFA 
an die Handlerkasse KA ubertragen. 

13. Die Handlerkasse KA Obermittelt ein Signal 
CALM und Daten DAT1, die mindestens das Gut- 30 
haben GUT und das fahrscheinautomatenspezifi- 
sche Zertifikat CERFA umfassen an das Handler- 
kassensicherheitsmodul KASM. Dadurch wird eine 
Funktion CALMAC zur Berechnung eines Messa- 
ge Authentificationcodes MAC gestartet Der 35 
MAC und die Daten DAT1 werden zum Host- 
Rechner HO ubertragen. 

14. Im Host-Rechner-Sicherheitsmodul HOSM 
wird durch Obertragung des Anwendungsnamens 
AN das Protokoll SELPRO gewahlt Das Host- 40 
Rechner-Sicherheitsmodul HOSM quittiert es 
durch ein Statussignal STA. 

15. Der Host-Rechner HO ubertragt ein Signal 
CALK und eine Handlernummer KANR an das 
Handlerkassensicherheitsmodul HOSM. Dadurch 45 
wird eine Schltisselberechnungsfunktion CALKEY 
gestartet Nach erfolgreicher Abarbeitung der 
Funktion CALKEY erhalt der Host-Rechner HO 
eine Quittung OK. 

16. Obertragung eines Signals CHECK M und der 50 
Daten DAT1 zum Host-Rechner-Sicherheitsmodul 
HOSM. Dadurch Aufruf einer Oberpriifungsfunk- 
tion CHECKMAC fur den MAC und Quittung OK 

an Host-Rechner HO. 

17. Generierung einer Zufallszahl V im Zufallszah- 55 
lengenerator GENRAN des Host-Rechner-Sicher- 
heitsmoduls HOSM und Obertragung der Zufalls- 
zahl V an die Handlerkasse KA. 

18. Aufruf der SchlOsselberechnungsfunktion CAL- 
KEY im Handlerkassensicherheitsmodul KASM «> 
durch Obertragung eines Signals CALK und der 
Chipkartennummer CHKNR von der Handlerkas- 
se KA zum Handlerkassensicherheitsmodul KASM 
sowie Quittung OK an Handlerkasse KA. 

19. Obertragung des Signals CALM und eines es 
Geldbetrags BETR von der Handlerkasse KA zum 
Handlerkassensicherheitsmodul KASM. Dadurch 
Start der Funktion CALMAC zur Berechnung ei- 
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nes MAC und Obertragung des MAC an die Hand- 
lerkasse KA. 

20. Obertragung des Signals CHECKM, des Geld- 
betrags BETR und des MAC von der Handlerkasse 
KA zur Chipkarte CHK. Dadurch Start der Ober- 
prufungsfunktion CHECKMAC fur MAC und 
Quittung OK an Handlerkasse KA. 

D: Gegenseitige Authentifikation AUTH, Handlerkasse 
KA - Host-Rechner HO 

21. Funktion CALAP zur Berechnung des Anerken- 
nungsparameters AP wird durch das Signal CALA 
und die Zufallszahl V aufgerufen. 

2Z Im Handlerkassensicherheitsmodul KASM wird 
eine Zufallszahl V generiert und gemeinsam mit 
dem Anerkennungsparameter AP zum Host-Rech- 
ner HO ubertragen. 

23. Funktion AUTHKA im Host-Rechner-Sicher- 
heitsmodul HOSM wird durch das Signal CALA 
die Handlerkassennummer KANR und den Aner- 
kennungsparameter AP aufgerufen. Es erfolgt 
Quittung OK. 

24. Durch das Signal CALA und die Zufallszahl V 
wird Funktion CALAP zur Berechnung eines wei- 
teren Anerkennungsparameters AP gestartet 

25. Im Host-Rechner-Sicherheitsmodul HOSM 
wird eine weitere Zufallszahl V erzeugt und ge- 
meinsam mit dem Anerkennungsparameter AP' an 
die Handlerkasse KA ubertragen. 

26. Durch das Signal CALA und den Anerken- 
nungsparameter AP' wird im Handlerkassensicher- 
heitsmodul KASM die Funktion AUTH HO zur Au- 
thentifikation des Host-Rechners HO gestartet. 
Quittung OK an Handlerkasse KA. 

E: Gegenseitige Authentifikation AUTH, Chipkarte 
CHK - Host-Rechner HO 

27. Start der Funktion CALAP durch Obertragung 
des Signals CALA und der vom Host-Rechner HO 
erzeugten Zufallszahl V an die Chipkarte CHK. 
Obertragung des Anerkennungsparameters AP an 
Handlerkasse KA. 

28. Zufallszahlengenerator GENRAN der Chipkar- 
te CHK generiert eine Zufallszahl V. Diese wird 
uber die Handlerkasse KA gemeinsam mit dem An- 
erkennungsparameter AP zum Host-Rechner HO 
ubertragen. 

29. Funktion AUTHCHK zur Authentifikation der 
Chipkarte CHK im Host-Rechner-Sicherheitsmo- 
dul HOSM wird durch das Signal CALA, die Chip- 
kartennummer CHKNR und den Anerkennungs- 
parameter AP gestartet Quittung OK an Host- 
Rechner HO. 

30. Funktion CALAP zur Berechnung eines neuen 
Anerkennungsparameters AP* wird durch das Si- 
gnal CALA und die Zufallszahl V gestartet 
Oberprufung, ob eine Sperre SP fur die Chipkarte 
CHK vorliegt; wenn ja: Fortsetzung mit den Schrit- 
ten Nummer 32a -32f. Andernfalls Obertragung 
des Anerkennungsparameters AP' an Handlerkas- 
se KA. 

31. Funktion AUTH HO zur Authentifikation des 
Host-Rechners HO wird durch das Signal CALA 
und den Anerkennungsparameter AP' in der Chip- 
karte CHK gestartet, Quittung OK an Handlerkas- 
se. Fortsetzung mit Schritt Nummer 33. 
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F: Abbruch der Anwendung bei vorliegender Sperre SP 
fur Chipkarte CHK 

32a Generierung einer Zufallszahl V* im Host- 
Rechner-Sicherheitsmodul HOSM und Obertra- 5 
gung dieser Zufallszahl V* und des zuletzt errech- 
neten Anerkennungsparameters AP an HSndler- 
kasse KA. 

32b. Aufruf der Funktion CHKSP zum Sperren der 
Chipkarte durch Obertragen des Anerkennungspa* 10 
rameters AP und der Zufallszahl V» an die Chip- 
karte CHIC Chipkarte ubertr&gt daraufhin einen 
weiteren Anerkennungsparameter AP* an Host- 
Rechner HO. 

32c Aufruf der Funktion AUTHCHK zur Authen- 15 
tifikation AUTH der Chipkarte CHK durch das Si- 
gnal CALA und den Anerkennungsparameter AP*. 
Quittung OK an Host-Rechner HO. 
32d. Obertragung der Quittung OK an Handlerkas- 
se und Beenden der Anwendung CLPRO im Host- 20 
Rechner HO. 

32e. Beenden der Anwendung CLPRO in der Hand- 
lerkasse KA, Abgabe eines Quittungssignals OK an 
Chipkarte CHK- 

32f. Beenden der Anwendung CLPRO in der Chip- 25 
karteCHK. 

G: Uberprufung des Guthabens GUT im Host-Rechner 
HO 

30 

33. Die Schritte 32a -32f wurden ausgelassen, die 
Handlerkasse Ubertragt Blocknummern BNR(B), 
BNR(C) an die Chipkarte CHK. In der Chipkarte 
werden Daten DAT2, die das Guthaben GUTH, ein 
kartenspezifisches Zertifikat CERCHK und ein 35 
fahrscheinautomatenspezifisches Zertifikat CER- 
FA umfassen, gelesen und ein MAC dazu erstellt. 
DAT2 und MAC werden an die Handlerkasse KA 
Obertragen. 

34. Im Zufallsgenerator GENRAN der Chipkarte 40 
CHK wird eine Zufallszahl V erzeugt und an die 
Handlerkasse KA Obertragen. Die Handlerkasse 
KA Qbertragt die Daten DAT2, den MAC und die 
Zufallszahl V an den Host-Rechner HO. 

35. Aufruf der Schlusselberechnungsfunktion CAL- 45 
KEY durch das Signal CALK und die Chipkarten- 
nummer CHKNR. Quittung OK an Host-Rechner 
HO. 

36. Aufruf der Oberprufungsfunktion CHECK- 
MAC durch Obermittlungssignal CHECKM, die 50 
Daten DAT2 und den MAC Quittung OK an Host- 
Rechner HO. 

37. Aufruf der Funktion CHECKCER zur Oberpru- 
fung des Fahrkartenautomatenzertifikates CERFA 
durch Ubermittlung eines Signals CHECKQ durch 55 
das Guthaben GUT und das Zertifikat CERFA. 
Quittung OK an Host-Rechner HO. 

38. Aufruf der Schlusselberechnungsfunktion CAL- 
KEY durch das Signal CALK und die Chipkarten- 
nummer CHKNR. Quittung OK an Host-Rechner eo 
HO. 

39. Aufruf der Oberprufungsfunktion CHECKCER 
fur das chipkartenspezifische Zertifikat CERCHK 
durch Obermittlung des Signals CHECKQ durch 
das Guthaben GUT und das Zertifikat CERCHK- 65 
Quittung OK an Host-Rechner HO. 
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H: Erstellen des neuen Guthabens NGUT 

40. Aufruf einer Zertifikatsberechnungsfunktion 
CALCER durch ein Signal CALC und des neue 
Guthaben NGUT. Neues Fahrkartenautomatenz- 
ertifikat NCERFA an Host-Rechner HO. 

41. Aufruf der Schlusselberechnungsfunktion CAL- 
KEY durch das Signal CALK und die Chipkarten- 
nummer CHKNR. Quittung OK an Host Rechner 
HO. 

42. Aufruf der Zertifikatsberechnungsfunktion 
CALCER durch das Signal CALC und das neue 
Guthaben NGUT. Obertragung des neuen chipkar- 
tenspezifischen Zertifikats NCERCHK an Host- 
Rechner HO. 

43. Aufruf Schlusselberechnungsfunktion CAL- 
KEY durch Signal CALK und Chipkartennummer 
CHKNR. Quittung OK an Host-Rechner HO. 

44. Aufruf Funktion CALMAC zur Berechnung des 
MAC durch das Signal CALM der mit Position 34 
von der Chipkarte CHK zum Host-Rechner HO 
ubermittelten Zufallszahl V und die Daten DAT3, 
die unter anderem die beiden neuen Zertifikate 
NCERCHK und NCERFA umfassen. Der errech- 
nete MAC und die Daten DAT3 werden an die 
Handlerkasse KA ubermittelt 

I: Chipkarte CHK aufbuchen und Anwendung beenden 

45. Aufruf der Oberprufungsfunktion CHECK- 
MAC zur Oberprufung des MAC durch das Signal 
CHECKM, die Daten DAT3 und den MAC An- 
schlieBend Speichern des neuen Guthabens NGUT 
und der beiden neuen Zertifikate NCERFA, 
NCERCHK. Quittung OK an Handlerkasse KA 
und Host-Rechner HO. 

46. Aufruf der Funktion "Anwendung beenden" 
CLPRO im Host-Rechner HO, in der Handlerkasse 
KA und in der Chipkarte CHK. 

Anhand der Fig. 5a bis 5d wird im folgenden der Ver- 
fahrensablauf beim Abbuchen des Guthabens GUT ei- 
ner Chipkarte CHK, die in einem System gemaB den 
Fig. 2 und 3 verwendet wird, dargelegt Der Verfahrens- 
ablauf ist, wie beim Aufbuchen, eine Abfolge einzelner 
Funktionen. Die am Abbuchungsvorgang beteiligten 
Systemkomponenten sind: 

— eine Chipkarte CHK 

— ein Fahrscheinautomat FA mit Sicherheitsmodul 
FASM. 

Der Aufbau der Figur entspricht im Prinzip der Fig. 4. 
Anhand der Funktionsnumerierung wird der Verfah- 
rensablauf nun stichwortartig beschrieben: 

A: Initialisierung INIT 

1. Reset zur Erreichung des Grundzustandes RES 
in Chipkarte CHK und Fahrscheinautomat FA. 

2. Aufruf eines Protokolls SELPRO durch Gbermit- 
teln eines Anwendungsdatenfeldes ADF an die 
Chipkarte CHK, Ouittung durch Statussignal STA 
an Fahrkartenautomat FA. 

3. Aufruf des Protokolls SELPRO im Fahrkarten- 
automat FA durch den Anwendungsnamen AN. 
Quittung durch Statussignal STA. 

4. Obertragung einer Blocknummer BNR(A) zur 
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Chipkarte CHK, in der Lesefunktion READ akti- 
viert wird. Obertragung der Chipkartennummer 
CH K N R an Fahrkartenautomat FA. 

B: Authentifikation AUTH 5 

5. Generierung einer Zufallszahl V in Fahrkarten- 
automaten FA. 

6. Aufruf der Funktion CALAP zur Berechnung des 
Anerkennungsparameters A P. 10 

7. Aufruf der Funktion AUTHCHK zur Authentifi- 
kation AUTH der Chipkarte CHK durch das Signal 
CALA, die Chipkartennummer CHKNR und den 
Anerkennungsparameter AP. Quittung OK an 
Fahrkartenautomat FA. 15 

8. Generieren einer Zufallszahl V in der Chipkarte 
CHK. 

9. Aufruf der Funktion CALAP zur Berechnung des 
Anerkennungsparameters AP' mit Hilfe des Signals 
CALA und der Zufallszahl V. 20 

10. Aufruf der Funktion AUTH FA zur Authentifi- 
kation AUTH des Fahrkartenautomaten FA durch 
das Signal CALA und den Anerkennungsparame- 
ter AP in der Chipkarte CHK. Quittung OK an 
Fahrkartenautomat FA. 25 

11. Generierung einer Zufallszahl V mit Hilfe der 
Funktion GENRAN im Fahrkartenautomat FA. 
1Z Obertragung einer Blocknummer BNR(C) und 
der Zufallszahl V an die Chipkarte CHK. Funktion 
READ liest Guthaben GUT und Fahrkartenauto- 30 
matenzertifikat CERFA aus und berechnet dazu 
einen MAC GUT, CERFA und MAC werden an 
Fahrkartenautomat FA ubermittelt 

13. Aufruf der SchlQsselberechnungsfunktion CAL- 
KEY durch das Signal CALK und die Chipkarten- 35 
nummer CHKNR. Quittung OK an Fahrkartenau- 
tomat FA. 

14. Aufruf der Oberpriifungsfunktion CHECK- 
MAC fur den MAC durch das Signal CHECKM, 
das Guthaben GUT, das Fahrkartenautomatenzer- 40 
tifikat CERFA und den MAC Quittung OK an den 
Fahrkartenautomaten FA. 

15. Aufruf der Oberpriifungsfunktion CHECKCER 
durch das Signal CHECKC, Quittung OK von 
Fahrkartenautomatensicherheitsmodul FASM an 45 
Fahrkartenautomat FA, Anzeige von Guthaben 
GUT am Display des Fahrkartenautomaten FA, 
Auswahl der Fahrscheinart durch den Kunden KU, 
Bestatigung durch den Kunden KU. 

16. Aufruf einer Berechnungsfunktion CALGUT 50 
durch das Signal CALG und den Geldbetrag BETR. 
Nach Abarbeiten der Funktion liegt das neue Gut- 
haben NGUT im Fahrkartenautomaten FA vor. 

1 7. Aufruf Zertifikationsberechnungsfunktion 
CALCER durch das Signal CALC und des neue 55 
Guthaben NGUT. Es liegt das neue Fahrkartenau- 
tomatenzertif ikat NCERFA vor. 

18. Aufruf der Funktion CALM AC durch das Signal 
CALM, das neue Zertifikat NCERFA, die Fahrkar- 
tenautomatennummer FANR, das aktuelle Datum «> 
DATU und das neue Guthaben NGUT. MAC liegt 
im Fahrkartenautomaten FA vor. 

19. Aufruf der Oberpriifungsfunktion CHECK- 
MAC in der Chipkarte CHK durch Obermitteln des 
Signals CHECKM, des neuen Zertifikats NCERFA, 6 5 
der Automatennummer FANR, des aktuellen Da- 
tums DATU und des neuen Guthabens NGUT. 
Quittung OK an Fahrkartenautomat FA. 
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20. Aufruf eines Plausibilitatstestes PLAU anhand 
des Guthabens GUT und des neuen Guthabens 
NGUT (NGUT muB kleiner sein als GUT), Quit- 
tung OK- 

21. Aufruf der Berechnungsfunktion CALCER zur 
Berechnung des neuen chipkartenspezifischen Zer- 
tifikates NCERCHK durch das Signal CALC, an- 
schlieBend Speichern der Buchung in Chipkarte 
CHK und Fahrkartenautomat FA. 

2Z Beenden der Anwendung durch Ablauf der 
Funktion CLPRO im Fahrkartenautomaten FA und 
in der Chipkarte CHK. 

Paten tanspriiche 

1. Verfahren zur Sicherung von ladbaren Guthaben 
in fur Debitanwendungen benutzte Chipkarten, die 
mit Abbuchungs- und Aufbuchungsstellen uber de- 
finierte, bei einer Initialisierung der Kommunika- 
tionspartner ausgewahlte Protokolle nach erfolgter 
Authentifikation kommunizieren, mit folgenden 
Verf ahrensschritten : 

a) Obermitteln eines Datenblocks (DAT) von 
der Chipkarte (CHK) zur Abbuchungsstelle 
(FA) bzw. Aufbuchungsstelle (KA, HO), der 
sich mindestens zusammensetzt aus 

aa) einem auf der Chipkarte (CHK) ge- 
speicherten Guthaben (GUT) 

ab) und mindestens einem, durch einen 
Verschlusselungsalqorithmus aus zumin- 
dest einem zwischen den mdglichen Kom- 

r munikationspartnern .gultigen Schlussel 

(K) und dem Guthaben (GUT) bestimm- 
ten Zertifikat (CER) 

b) Oberprufen der Gultigkeit des ubertrage- 
nen Guthabens (GUT) durch die Aufbu- 
chungsstelle (KA, HO) bzw. Abbuchungsstelle 
(FA) mit Hilfe mindestens eines Zertifikates 
(CER) 

c) Erstellung eines neuen Guthabens (NGUT) 
durch Subtraktionbzw. Addition eines Geldbe- 
trages (BETR) zum ubermittelten Guthaben 
(GUT) 

d) Bestimmung mindestens eines neuen Zertifi- 
kats (NCER) mit Hilfe des VerschlOsselungsal- 
gorithmus aus zumindest einem zwischen den 
moglichen Kommunikationspartnern gultigen 
Schlussel (K) und dem neuen Guthaben 
(NGUT) 

e) Speichern des neuen Guthabens (NGUT) 
oder einer entsprechenden Information und 
des neuen Zertifikates (NCER) zumindest in 
der Chipkarte (CHK). 

2. Verfahren zur Sicherung nach Anspruch 1, da- 
durch gekennzeichnet, daB vor jeder Datenuber- 
mittlung fur jeden zu ubermittelnden Da ten block 
(DAT) ein Message-Authentifikation-Code (MAC) 
gebildet und anschlieBend zusammen mit dem Da- 
tenblock (DAT) an den Kommunikationspartner 
ubermittelt wird. 

3. Verfahren zur Sicherung nach einem der Ansprii- 
che 1 oder 2, dadurch gekennzeichnet, daB zum 
Aufbuchen des Guthabens (GUT) auf der Chipkar- 
te (CHK) die Chipkarte (CHK) mit einem Aufbu- 
chungsterminal (KA) verbunden wird, daB nach 
dem Initialisierungsvorgang (INIT) das Aufbu- 
chungsterminal (KA) On-Line mit einem Host- 
Rechner (HO) verbunden wird, und daB die Ober- 
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prufung des Guthabens (GUT) im Host-Rechner 
(HO)erfolgL 

4. Verfahren zur Sicherung nach Anspruch 3, da- 
durch gekennzeichnet, daB der Host-Rechner (HO) 
die/das neue(n) Zertifikat(e) (NCER) zum neuen 5 
Guthaben (NGLTO bestimmt 

5. Verfahren zur Sicherung nach einem der vorher- 
gehenden Anspruche 3 oder 4, dadurch gekenn- 
zeichnet, daB zwischen jeder Chipkarte (CHK) und 
dem Host-Rechner (HO) ein Chipkartenschlusse) i 0 
(K(AX K(B)) und zwischen den Abbuchungsstellen 
(FA) und dem Host-Rechner (HO) ein Abbu- 
chungsschlussel (K(FA)) zur Bestimmung eines 
Zertifikates (CER) vereinbart sind, und daB jedem 
Guthaben (GUT) ein mit Hilfe des Chipkarten- 15 
schlOssels (K(A), K(B)) bestimmtes erstes Zertifikat 
(CERCHK) und ein mit Hilfe des Abbuchungs- 
schlussels (K(FA)) bestimmtes zweites Zertifikat 
(CERFA) angefugt wird. 

6. Verfahren zur Sicherung nach Anspruch 5, da- 20 
durch gekennzeichnet, daB beim Abbuchungsvor- 
gang das zweite neue Zertifikat (NCERFA) durch 
die Abbuchungsstelle (FA) bestimmt wird und daB 
das erste neue Zertifikat (NCERCHK) durch die 
Chipkarte (CH K) bestimmt wird 2 5 

7. Verfahren zur Sicherung nach einem der vorher- 
gehenden Anspruche, dadurch gekennzeichnet daB 
nach jeder Aufbuchung oder Abbuchung eines 
Guthabens (GUT) ein Quittungsdruck (T, J) erstellt 
wird. 30 

8. Verfahren zur Sicherung nach einem der Anspru- 
che 1 bis 4, dadurch gekennzeichnet, daB das Gut- 
haben (GUT) in der Chipkarte (CHK) in Form ei- 
ner Mehrzahl von Gutscheinen eines bestimmten 
Nominalwertes gespeichert wird, und daB jedem 35 
Gutschein ein Zertifikat (CER) angefugt wird 

9. Verfahren zur Sicherung nach Anspruch 8, da- 
durch gekennzeichnet, daB die Abbuchungsstelle 
(FA) jeweils eine vom abzubuchenden Geldbetrag 
(BETR) bestimmte Menge Gutscheine auf der 40 
Chipkarte (CHK) ungultig macht 

10. Verfahren zur Sicherung nach einem der vor- 
hergehenden Anspruche, dadurch gekennzeichnet, 
daB vor dem Erstellen eines neuen Guthabens 
(NGUT) eine Sperrdatei abgefragt wird 45 
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